Hitach Incident Response Team

 2月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

GNU glibcの脆弱性への対応

 2016年2月16日、GNU glibcの名前解決getaddrinfo関数に、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性(CVE-2015-7547)が報告されました。影響を受けるバージョンは、glibc 2.9~2.22です。ここでは、発信されたセキュリティ情報を日ごとに追いかけてみましょう。

2016年2月16日

2016年2月17日

2016年2月18日

2016年2月19日

2016年2月22日

Thunderbird 38.6.0リリース(2016/02/16)

 Thunderbird 38.6.0では、任意のコード実行を許してしまう脆弱性(CVE-2016-1523)、サービス拒否攻撃を許してしまう脆弱性、TLS 1.2でMD5署名されたメッセージを受け入れてしまう脆弱性(CVE-2015-7575)など、4件のセキュリティアドバイザリーに含まれる計5件の脆弱性を解決しています。

米シスコ製品

■ASA SoftwareのIKEv1、IKEv2(2016/02/10)

 セキュリティアプライアンス製品であるASA(Adaptive Security Appliances)のIKEv1、IKEv2には、任意のコード実行とサービス拒否攻撃を許してしまうバッファオーバーフローの脆弱性(CVE-2016-1287)が存在します。不正なUDPパケットを受信した場合に、この脆弱性の影響を受ける可能性があります。

Tomcat 8.0.32、7.0.68、6.0.45リリース(2016/02/08)

 Tomcat 8.0.32、7.0.68、6.0.45は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

 2月8日にリリースされたTomcat 8.0.32では、Webアプリケーションの最上位のパスを指定するパラメーター「mapperContextRootRedirectEnabled」のデフォルト値を、URLの末尾にスラッシュ(/)を追加したものとするよう、仕様を変更しました。また、Windows版バイナリーをOpenSSL 1.0.2eに対応させたTomcat Native 1.2.4へのアップデートなどの強化を施しています。

 2月11日にリリースされたTomcat 6.0.45では、Tomcat Nativeをバージョン1.2.4にアップデートしています。2月16日にリリースされたTomcat 7.0.68では、設定変更に追従するため、ロード/アンロード時にフィルターを適用するなどの強化を施しています。